NPM Official Logo © NPM
Menedżer pakietów węzłów ( NPM ) została założona w 2009 roku w celu ułatwienia współużytkowania kodu między programistami JavaScript na całym świecie. Pomysł polegał na tym, że zamiast konkurować w tworzeniu programu, udostępnianie zasobów typu open source, takich jak biblioteka NPM, może pozwolić na rozwój powyżej tego, co już zostało opracowane, aby w szerszym ujęciu rozwój programu mógł osiągnąć nowy poziom. NPM został przekształcony w firmę w 2014 r., Aby rozwinąć tę samą wizję, a firma jest teraz gospodarzem zaskakującego rejestru ponad 700000 kodów i pakietów, które można swobodnie i odpowiedzialnie wykorzystywać do tworzenia dowolnych urządzeń, aplikacji, robotów i wielu innych. więcej.
Według NPM CTO Silverio, noc między 11thi 12thlipca, złośliwy atak miał miejsce na serwerze NPM, gdzie hakerowi udało się uzyskać dostęp do konta programisty i użyć jego danych uwierzytelniających do wydania fałszywej wersji biblioteki eslint-scope 3.7.2, której zhakowana osoba była odpowiedzialna za utrzymanie. Na szczęście wkrótce zauważono nową aktywność generowania tokenów i podjęto wysiłki, aby ograniczyć i cofnąć zmianę. Od tego czasu w gruntownym dochodzenie naruszenia stwierdzono, że złośliwy kod uzyskał możliwość rejestrowania danych uwierzytelniających NPM innych programistów, gdy są one używane przez ich programy. Dlatego też społeczność korzystająca z otwartego kodu źródłowego NPM została poradzona, aby zmieniła wszystkie poświadczenia konta i usunęła tę konkretną bibliotekę NPM ze swoich projektów, jeśli została użyta.
Pomimo ogromnej liczby cotygodniowych pobrań pakietu ESLint, powiedziano, że nie zaobserwowano szkodliwej aktywności z 4500 kont, które zostały bezpośrednio dotknięte przez fałszywą wersję kodu. Wiele tokenów wciąż zostało wycofanych, aby uniknąć dalszej ingerencji w rejestr i dalszego rozprzestrzeniania się zainfekowanego pakietu eslint-scope. Użytkownicy zostali również wezwani w oficjalnym oświadczeniu CJ Silverio do skorzystania z uwierzytelniania dwuskładnikowego w celu zapobieżenia takim złośliwym wypycheniom w przyszłości.
Po każdym takim ataku typu open source na kod społeczność programistów cofa się ze strachu, ale w różnych postach na blogach i artykułach redakcyjnych pojawiających się na froncie społeczności technicznej od czasu złośliwego ataku, programiści są zachęcani do odważnych takich incydentów, aby trzymać się mocno integralność, z jaką zostały utworzone biblioteki open source, z korzyścią dla wszystkich programistów. Użytkownicy NPM są zachęcani do kontynuowania i szanowania ducha, z jakim pierwotnie powstał projekt open source. Jeśli użytkownicy używają wszystkich Środki bezpieczeństwa dostarczony im w celu ochrony bibliotek, taki atak nie będzie miał możliwości powtórzenia się.
